Netzsicherheit Architekturen und Protokolle Privilege Management Infrastructure. 1. Privilege Management Infrastructure 2. X.509-Attributzertifikate

Transkript

1 1. 2. X.509-Attributzertifikate

2 PMI Motivation Autorisierung über Zugangskontrolllisten anhand von Identität (via Passwort/Ticket/etc., z.b. pop, imap, smtp-auth) Besitz eines privaten Schlüssels (z.b. SSH: authorized_keys) Identität Person ACL (Identität) Stellvertreter in der digitalen Welt Autorisierung ACL (öffentlicher Schlüssel) Öffentlicher Schlüssel 1 Problem: Zuordnung von Privilegien zu Personen lokal oder auf Privilegien-Server zentral Eine PMI ermöglicht eine unabhängige, transportierbare Bindung von Autorisationsdaten

3 Access Control Methoden Im Folgenden betrachtete Access Control Methoden Discretionary Access Control individuelle Rechte pro Benutzer Mandatory Access Control jede Ressource wird klassifiziert Benutzer bekommen Zugangsrechte zu Klassen Role-based Access Control Rechte abhängig von der Rolle des Benutzers Rollen ist eine Menge von Zugriffsrechten zugeordnet Hierarchical Role-based Access Control Hierarchische Organisation der Rollen 2

4 Beispiel (1/4) Discretionary Access Control Datei A Datei B Datei C Alice: Datei A: Lesen Datei B: Lesen, Schreiben Bob: Datei B: Lesen Datei C: Lesen Ressourcen Zuordnung von Privilegien 3

5 Beispiel (2/4) Mandatory Access Control Datei A Datei B Datei C secret confidential confidential Alice: secret: Lesen Bob: confidential: Lesen Ressourcen Klassifizierung Zuordnung von Privilegien zum Zugriff auf Klassen 4

6 Beispiel (3/4) Role-based Access Control Alice: Datei A CEO Rolle CEO Datei A: Lesen, Schreiben Datei B: Lesen, Schreiben Datei B Bob: Linux-Programmierer Rolle Linux-Programmierer Datei C Malory: Linux-Programmierer Datei B: Lesen Datei C: Lesen, Schreiben 5 Ressourcen Zuordnung von Rollen Vergabe von Privilegien an Rollen

7 Beispiel (4/4) Hierarchical Role-based Access Control Abteilungsleiter Entwicklung Linux-Programmierer Windows- Programmierer Abteilungsleiter erhält auch die Privilegien von Linux- Programmierer und Windows-Programmierer 6

8 Autorisierung Bisher Authentifikation realisiert über ID-Zertifikate Jetzt Wie kann Autorisierung realisiert werden? welcher Benutzer hat in Bezug auf eine Ressource welche Privilegien? wer darf Privilegien vergeben? wer darf Privilegien weitergeben? 7

9 Attributzertifikate Nachweis der Autorisierung über Attributzertifikate attestieren Identität bestimmtes Privileg (=Attribut) zeitlich einschränkbar basieren auf PKI und deren ID-Zertifikaten können widerrufen werden (Attribute Certificate Revocation List) Analog zur PKI ist eine Infrastruktur zum Management dieser Zertifikate notwendig (PMI) PMI ist für Autorisation, was PKI für Authentifikation ist 8

10 Aufbau einer PMI ähnlich Aufbau einer PKI CA der PMI: Attribute Authority (AA) vergibt Zugriffsrechte zertifiziert diese Rechte in Form von Attributzertifikaten Root CA der PMI: Source of Authority (SOA) Verifizierung eines Privilegs beginnt bei der SOA oberste AA für dieses Privileg Attributzertifikat der SOA selbstzertifiziert signiert mit dem zum ID-Zertifikat der SOA gehörenden privaten Schlüssel 9

11 Gegenüberstellung Begriffe PKI/PMI Konzept Zertifikatsbezeichnung Zertifizierender Zertifizierter Zertifizierter Inhalt Widerruf Vertrauensanker PKI Public Key- bzw. ID-Zertifikat Certificate Authority (CA) Subject ID an Public Key CRLs: EPRLs/CARLs Root Certificate Authority (Root-CA) PMI Attributzertifikat Attribute Authority (AA) Holder Attributwerte an ID ACRLs: EARLs/AARLs Source of Authority (SOA) 10

12 Attribut-Zertifikat und ID-Zertifikat Schlüssel Alice Alice Attribut ID-Zertifikat Attributzertifikat 11

13 PMI-Grundmodell Allgemeines Modell Privileg-Prüfer (privilege verifier) Privileg-Benutzer (privilege asserter) Ressource, auf die zugegriffen wird Privilegien-Richtlinie (privilege policy) Umgebungsvariablen (z.b. aktuelle Zeit) Privilegienrichtlinie Umgebungsvariablen (z.b. Zeit) Privileg- Prüfer Ressource 12 Dienstanfrage Privileg- Benutzer

14 PMI-Grundmodell Rollen Rolle steht stellvertretend für Menge von Privilegien Privilegien der Rolle werden ebenfalls in einem Attributzertifikat spezifiziert, können somit jeder Zeit geändert werden Privileg A Benutzerzertifikat Rollenzertifikat... Privileg Z 13

15 PMI-Vertrauensmodell Single-CA mit Delegierung SOA vergibt die Privilegien an AAs AAs können Privilegien weiter delegieren nur eigene Privilegien oder Untermenge delegierbar ermöglicht natürliche Verteilung der Privileg-Zuweisung zur Verifizierung muss Pfad von AAs aufgebaut werden Delegiert Privileg SOA vertraut AA kann evtl. auch Privileg beanspruchen Privileg- Prüfer 14 Zertifiziert Privileg Privileg- Benutzer Beansprucht Privileg

16 1. 2. X.509-Attributzertifikate

17 X.509-PMI Seit der letzten Edition spezifiziert X.509 ein detailliertes Framework zur Autorisierung authentifizierbarer Schlüsselbesitzer X.509 bietet zwei Wege zur Autorisierung an Privilegien in ID-Zertifikaten Privilegien in Attribut-Zertifikaten 16

18 Diskussion Welche Vor- und Nachteile haben Privilegien in ID- Zertifikaten? Welche Vor- und Nachteile haben Privilegien in Attribut-Zertifikaten? 17

19 Privilegien in ID-Zertifikaten X.509 Erweiterung subjectdirectoryattributes enthält Privilegien CA muss auch AA für die Ressource sein in Praxis eher nicht der Fall Dauer der Privilegien- und ID-Zertifizierung muss gleich sein Widerruf einzelner Privilegien nicht möglich Zertifikat nur als Ganzes widerrufbar Nur gesamte Menge an Privilegien delegierbar (keine Untermenge) 18

20 Privilegien in Attributzertifikaten Attestieren einer Identität bestimmte Privilegien Privilegien können getrennt von ID-Zertifizierung vergeben werden CA muss nicht gleichzeitig AA sein mehrere unabhängige Privilegien in getrennten Zertifikaten zuweisbar jedes Zertifikat kann einzeln widerrufen werden Gültigkeitsdauer der Privilegien beliebig insbesondere auch kürzer als zugeh. ID-Zertifikat möglich Delegation einer Untermenge von Privilegien möglich 19

21 Aufbau eines Attribut-Zertifikates Ein Attributzertifikat besteht aus einer signierten Ausgabe folgender Daten Feld version holder issuer signature serialnumber attcertvalidityperiod attributes issueruniqueid extensions Beschreibung Versionsnummer des Formates Verweis auf ID-Zertifikat des Besitzers ID der CA+Seriennummer des ID-Zertifikats Verweis auf ID-Zertifikat der AA für die Signatur genutzter Algorithmus Seriennummer Gültigkeitsdauer notbeforetime notaftertime Zertifizierte Attribute ID der austellenden AA Erweiterungen 20

22 PKI/PMI: Big Picture (ohne Delegation) Privileg- Prüfer Grundlage für Autorisierungen SOA-Attributzertifikat: holder = SOA-ID issuer = SOA-ID PMI-Selbstzertifizierung SOA- ID-Zertifikat PKI-Selbst- Zertifizierung Grundlage für Anfrage Grundlage für Zertifizierung PMI- Zertifizierung PKI- Zertifizierungen CA Benutzer-Attributzertifikat: holder = Benutzer-ID issuer = SOA-ID nutzt Benutzer- ID-Zertifikat 21 PMI PKI

23 Basiserweiterungen Verwendung des Erweiterungsmechanismus um komplexere Szenarien abzubilden Basiserweiterungen timespecification zeitliche Einschränkung der Nutzung (nicht Delegierung!) eines Privilegs z.b. während Bürozeiten, Mo - Fr von 08:00 18:00 Uhr acceptableprivilegepolicies spezifiziert akzeptable Privilegienrichtlinen ist vom Dienstgeber zu prüfen Flag critical ist für diese Erweiterung immer gesetzt 22

24 Widerruferweiterungen Widerruferweiterungen CRLdistributionPoint gibt an, wo die Attribute Certificate Revocation List zu finden ist (wie bei ID-Zertifikaten) norevavail gibt an, dass dieses Zertifikat nicht widerrufen werden kann oft bei kurzlebigen Zertifikaten 23

25 SOA-Erweiterungen Optionale Autorisierung eines ID-Zertifikates, SOA sein zu dürfen, über folgende Erweiterung soaidentifier Identifiziert den Inhaber eines ID-Zertifikates als SOA ermächtigt Inhaber Attribute zu definieren, Privilegien zuweisen Zertifikate zu erstellen, die diese beschreiben (Attributbeschreibungszertifikat) Privilegien anderen Nutzern zuzuteilen 24

26 Attributbeschreibungszertifikat Beschreibung der Bestandteile eines Attributes über ein Attributbeschreibungszertifikat das die Erweiterung attributedescriptor enthält selbstsigniert beschreibt ein Attribut ID, Name Syntax, Beschreibung Definition der Enthaltensein-Relation (attribute domination) 25

27 Rollen-Erweiterung Ermöglicht die Verwendung von Rollen Attributzertifikat des Benutzers enthält bei Zuweisung einer Rolle folgende Erweiterung rolespeccertidentifier Name der Rolle Aussteller des Rollen-Zertifikats Seriennummer des Rollen-Zertifikats Ort wo das Zertifikat zu finden ist Rollenzertifikat an sich ist gekennzeichnet durch das Attribut role rolename gibt den Namen der Rolle an roleauthority nennt ID der Instanz, die Rolle definiert hat enthält die tatsächlichen Attributswerte 26

28 Delegierungserweiterungen Erweiterungen zur Kontrolle der Delegation basicattconstraints gibt an, ob Zertifikatsinhaber das Privileg weiterdelegieren darf, d.h. AA ist maximale Zertifikat-Pfadlänge spezifizierbar delegatednameconstraints schränkt den Namensraum der Zertifikatsbesitzer ein, denen Zertifikate ausgestellt werden dürfen permittedsubtrees, excludedsubtrees 27

29 Delegierungserweiterungen Erweiterungen zur Kontrolle der Delegation acceptablecertpolicies Einschränkung der Zertifikatbesitzer, die Privilegien bekommen nur Besitzer gewisser ID-Zertifikate werden akzeptiert Anhand von Zertifizierungsrichtlinien der CA authorityattributeidentifier verweist auf das Attribut-Zertifikat, das dem Issuer den Status als AA verleiht wird benutzt, um Zertifikatskette zu erstellen 28

30 PKI/PMI: Big Picture (im Detail) Attributszertifikatskette authorityattribute Identifier SOA-A [AA1-A] issuer+ holder issuer SOA-ID authorityattribute Identifier AAn-A holder issuer AAn-ID Pfade via issuer CA holder 29 Privilegien attributes Benutzer-A Rolle-A rolespeccert Identifier issuer Benutzer-ID RoleAuthority-ID

31 Validierung von Privilegien 1. Aufbau der Attributszertifikatskette (Benutzer bis SOA) 2. Verifizieren der Signaturen der Attributszertifikatskette 3. Validieren der ID-Zertifikate (siehe PKI), die in der Kette referenziert werden 4. Prüfen der Gültigkeit der Attributs- und ID-Zertifikate (Dauer, Zeitpunkt, Richtlinien, Einschränkungen, Widerruf, etc.) 5. Prüfen, ob alle Attributzertifikate zwischen SOA und Nutzer 1. autorisierte AAs sind 2. gültig sind in Hinsicht auf Pfad- und Namenseinschränkungen 3. durch ID-Zertifikate authentifiziert sind, die unter einer gegebenen Richtlinie gültig sind 4. die Dominierungsregel korrekt angewandt haben (nicht mehr Rechte weitergegeben wurden, als man selbst besitzt) 30

32 Autorisierungsmodelle mit X.509 Realisierung der Modelle mit X.509 Discretionary Access Control individuelle Privilegien in Attributzertifikaten der Benutzer Mandatory Access Control Benutzer werden Klassen und erlaubte Aktionen in Attributzertifikat zugewiesen Role-based Access Control mittels rolespeccertidentifier Verweis auf Rollen-Zertifikat Rollen-Zertifikat ist Attributzertifikat mit Attribut role Hierarchical Role-based Access Control innerhalb von Rollen-Zertifikat Verweis auf weitere Rollen möglich 31

33 Bewertung von X.509-PMI Vorteile der X.509-PMI Aufgabentrennung möglich PKI für Authentifizierung zuständig PMI mit AAs für Autorisierung zuständig sehr flexible Aufgaben- und Rechteverteilung möglich Abbildung auf Unternehmensstrukturen einfach durch Delegation Nachteile der X.509-PMI Autorisierung mit Attributzertifikaten geschieht in zwei Schritten öffentlicher Schlüssel Identität Identität Privileg und ist somit an zwei Stellen angreifbar Validierung aufwendig Autorisierung basiert auf Namen, die jedoch selten relevant sind (Alternative: Autorisierung basierend auf öffentlichem Schlüssel) 32

34 Literatur ITU-T Recommendation X.509 (03/00) David Chadwick, The X.509 Privilege Management Infrastructure, PKI, PMI und X.509 Zusammenfassung 33